{"id":105390,"date":"2024-06-18T09:38:06","date_gmt":"2024-06-18T09:38:06","guid":{"rendered":"https:\/\/barc.com\/?p=105390"},"modified":"2024-06-18T09:38:08","modified_gmt":"2024-06-18T09:38:08","slug":"data-quantum-computing-risiken","status":"publish","type":"post","link":"https:\/\/barc.com\/de\/data-quantum-computing-risiken\/","title":{"rendered":"\u201eIts All About Data\u201c \u2013 und deren Schutz"},"content":{"rendered":"\n<p>K\u00fcrzlich hatten wir Gelegenheit an der Post Quantum Cryptography (PQC) Konferenz von Fraunhofer AISEC teilzunehmen. Dabei ging es im Wesentlichen um die Frage, welche Gefahren f\u00fcr Daten in Unternehmen in Zukunft, aber auch schon heute bestehen und zwingend auf die CIO-Agenda geh\u00f6ren.<\/p>\n\n\n\n<p>Um es in einem Satz zusammenzufassen besteht die Gefahr durch potentielle Angreifer in \u201eStore Now, Decrypt Later\u201c. Dass Hacker-Angriffe kontinuierlich passieren und gelegentlich auch zu \u201esichtbaren Erfolgen\u201c f\u00fchren, ist jedem Datenverantwortlichen bewusst. Die weitaus gr\u00f6\u00dfere Bedrohung f\u00fcr Unternehmen besteht jedoch darin, dass Daten unbemerkt aus Unternehmensumgebungen kopiert werden (\u201einvisible hacking\u201c) und zu einem sp\u00e4teren Zeitpunkt mittels Quanten-Computing entschl\u00fcsselt werden. Man mag hier einwenden, dass die Daten von heute zum Zeitpunkt einer potentiell sehr viel sp\u00e4teren Dekodierung nicht mehr relevant sein k\u00f6nnen. Dieses Risiko sollten die Verantwortlichen jedoch nicht eingehen.<\/p>\n\n\n\n<p>Quanten-Computing befindet sich vielfach noch im experimentellen Stadium, was sich unter anderem darin ausdr\u00fcckt, dass die Entwickler immer noch auf der Suche nach den richtigen Aufgaben sind, die sich mit Quanten-Computing besser (oder \u00fcberhaupt erst l\u00f6sen lassen) als mit klassischen bin\u00e4ren Computern. Dar\u00fcber hinaus scheint sich noch nicht klar abzuzeichnen, welche Quanten-Computing-Basistechnologie letztlich diejenige sein wird, auf der dann alle Weiterentwicklungen des Quanten-Computing aufbauen werden.<\/p>\n\n\n\n<p>Derzeit existieren verschiedene Ans\u00e4tze f\u00fcr Quanten-Computing (z.B. superconducting qubits, ion trap qubits, quantum dots qubits, topological qubits, color center qubits on SiC, optical tweezers-based qubits, photonic quibits, \u2026). Einige davon sind vielversprechender, andere weniger. So eignen sich Quanten-Computer, die auf Annealing-Technik basieren, praktisch nur f\u00fcr sehr spezielle Optimierungsaufgaben, f\u00fcr die sie explizit entwickelt wurden. Sie sind aber weitgehend ungeeignet zur L\u00f6sung von Kryptographie-Aufgaben. Am weitesten entwickelt sind derzeit Quanten-Computing-Ans\u00e4tze, die auf 2D-Transmonen basieren, die in supraleitenden Qubits zum Einsatz kommen. Insbesondere Google und IBM setzen auf diese Technologie. Die wesentliche Entwicklungsrichtung besteht derzeit darin, Error-Correction-Funktionen so zu verbessern, dass das immer vorhandene Rauschen in den Zust\u00e4nden der Qubits beherrschbar wird, um zuverl\u00e4ssig reproduzierbare Ergebnisse zu erzielen.<\/p>\n\n\n\n<p>Auf der anderen Seite stehen Ion-Traps-Ans\u00e4tze (Ionenfallen), die zun\u00e4chst als L\u00f6sung f\u00fcr viele Probleme des Quanten-Computing galten, bei denen sich aber herausgestellt hat, dass die Zahl der St\u00f6rungen mit der Zahl der erforderlichen Ionen \u00fcberproportional ansteigt; d.h., dieser Ansatz ist derzeit nicht gut skalierbar. Relativ neu ist dagegen eine Technik, die auf Rydberg-Atomen basiert. Dabei handelt es sich um Atome, die sich in sehr hohen Anregungszust\u00e4nden befinden (bis kurz vor einer Ionisierung). Im Moment wird dies als eine neue vielversprechende Technologie angesehen.<\/p>\n\n\n\n<p>Wie man sieht, gibt es sehr unterschiedliche technologische Ans\u00e4tze zur Realisierung eines frei programmierbaren Quantencomputers. Welche der Basistechnologien sich letztlich durchsetzen wird, l\u00e4sst sich derzeit nicht mit Sicherheit vorhersagen. Es k\u00f6nnen \u00fcberraschend auch immer wieder neue Basistechnologien auftauchen, die im Moment eine verl\u00e4ssliche Prognose unm\u00f6glich machen. Aus diesem Grund ist es auch nicht verwunderlich, dass es (noch) kein Moore\u2018sches Gesetz f\u00fcr die Entwicklung der Leistungsf\u00e4higkeit von Quantencomputern gibt, da es in der aktuellen Entwicklungsphase immer wieder zu Diskontinuit\u00e4ten kommen kann. Entwicklungsvorhersagen \u00e0 la Moore\u2018s Law k\u00f6nnen nur in konvergierten Technologieumgebungen wie der siliziumbasierten Prozessor- und Speichertechnologie angewendet werden. An diesem Punkt sind wir beim Quanten-Computing aber noch nicht angelangt, da es immer wieder schnell zu neuen Durchbr\u00fcchen und auch kompletten Richtungswechseln in Forschung und Entwicklung kommen kann.<\/p>\n\n\n\n<p>Ansonsten ist derzeit davon auszugehen, dass kommerziell verf\u00fcgbare Quanten-Computer-Systeme in sp\u00e4testens zehn Jahren allgemein verf\u00fcgbar sein werden. Die Vorhersage \u201ein zehn Jahren\u201c wird zwar schon seit einiger Zeit Jahr f\u00fcr Jahr von der Forschungsgemeinde postuliert; da es aber inzwischen Quantencomputer der zweiten Generation gibt, die bereits in definierten Szenarien zum Einsatz kommen, erscheint die Prognose auch vor dem Hintergrund der folgenden \u00dcberlegungen tragf\u00e4hig:<\/p>\n\n\n\n<p>Man kann die Entwicklung von Quanten-Computing grob in vier Zeitabschnitte einteilen (insbesondere wenn man die Annealing-Optimierung-Spezialsysteme au\u00dfer Acht l\u00e4sst).<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Systeme mit &lt; 50 Qubits,<\/li>\n\n\n\n<li>Systeme mit > 50 Qubits,<\/li>\n\n\n\n<li>NISQ \u2013 also Noisy-Intermediate-Scale-Quantum-Technologien, und<\/li>\n\n\n\n<li>Systeme ab 1 Mio. Qubits mit kompletter Fehlerkorrektur und komplett freier Programmierung.<\/li>\n<\/ul>\n\n\n\n<p>Derzeit herrscht Konsens dar\u00fcber, dass wir uns am Ende der NISQ-Phase oder auch schon wirklich zwischen der NISQ- und der > 1Mio Qubit Phase befinden.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img fetchpriority=\"high\" decoding=\"async\" width=\"627\" height=\"353\" src=\"https:\/\/barc.com\/wp-content\/uploads\/2024\/06\/Entwicklungsphasen-Quantum-Computing.png\" alt=\"Entwicklungsphasen Quantum-Computing\" class=\"wp-image-105391\" srcset=\"https:\/\/barc.com\/wp-content\/uploads\/2024\/06\/Entwicklungsphasen-Quantum-Computing.png 627w, https:\/\/barc.com\/wp-content\/uploads\/2024\/06\/Entwicklungsphasen-Quantum-Computing-300x169.png 300w, https:\/\/barc.com\/wp-content\/uploads\/2024\/06\/Entwicklungsphasen-Quantum-Computing-600x338.png 600w\" sizes=\"(max-width: 627px) 100vw, 627px\" \/><\/figure>\n\n\n\n<p>Um auf das Ph\u00e4nomen \u201eStore Now, Decrypt Later\u201c (oder auch \u201eharvest now, decrypt later\u201c) zur\u00fcckzukommen, ist es f\u00fcr die zuk\u00fcnftige Datensicherheit von entscheidender Bedeutung, bereits heute Quanten-Verschl\u00fcsselungstechnologien einzusetzen. Zu diesem Zweck f\u00fchrt das NIST (US National Institute of Standards and Technology) mehrere Runden zur Zertifizierung solcher Algorithmen durch. Die in der ersten Runde ausgew\u00e4hlten Algorithmen wurden in relativ kurzer Zeit weitgehend geknackt. Die gerade begonnene zweite Auswahlrunde, die etwas l\u00e4nger dauern d\u00fcrfte als die erste, wurde im April von einem mehr oder weniger zuf\u00e4llig geknackten Algorithmus, der eigentlich als quantum-safe galt, \u00fcberrascht. Es wird wohl noch einige Zeit dauern, bis sichere Post-Quantum-Kryptographie als gesichert und etabliert angesehen werden kann.<\/p>\n\n\n\n<p>Die derzeit auf Datensicherheit im Post-Quantum-Zeitalter spezialisierten Beratungsunternehmen sprechen ganz allgemein von einer erforderlichen Krypto-Agilit\u00e4t, nach der Unternehmen bereits heute damit beginnen sollten, ihre Datenbest\u00e4nde in verschiedene Risikoklassen einzuteilen und insbesondere die \u201edatentechnischen Kronjuwelen\u201c des Unternehmens bereits jetzt mit vermeintlich sicheren Post-Quantum-Krypto-Algorithmen zu verschl\u00fcsseln. Generell wird ein hybrider Ansatz empfohlen: (a) klassische Verschl\u00fcsselung mit AES 256 (statt 48) und zus\u00e4tzlich mit Post-Quantum-Krypto-Verfahren. Denn \u201eits all about data!\u201c Die alte Erkenntnis, dass Daten l\u00e4nger leben als die meisten Speicher, auf denen sie gespeichert sind, als die Prozessoren, mit denen sie verarbeitet werden, und als die Anwendungen, die sie erzeugen und ver\u00e4ndern, beh\u00e4lt gerade im Zeitalter der KI oder der neuen EU-Datenschutzgesetzgebung ihre G\u00fcltigkeit.<\/p>\n\n\n\n<p>Unternehmen, die bereits erste Schritte zur Bestandsaufnahme ihrer Datenbest\u00e4nde unter PQC-Aspekten unternommen haben, stellen fest, dass dies mit einem ziemlich hohen Aufwand verbunden ist. Dies liegt unter anderem daran, dass die Daten, die aus eigenentwickelten Anwendungen stammen, in immer k\u00fcrzeren Abst\u00e4nden neu erstellt oder angepasst werden, aber auch zunehmend durch zugekaufte Softwarekomponenten \u2013 insbesondere aus Cloud-Computing-L\u00f6sungen \u2013 verwaltet werden. Dabei zeigt sich, dass eine manuelle Katalogisierung praktisch unm\u00f6glich ist. Man ist daher auf eine massive Automatisierung und \u2013 aufgrund der vielen externen Schnittstellen zu anderen Unternehmen \u2013 auf eine Kooperation zwischen den Unternehmen angewiesen. Insbesondere Unternehmen, deren Daten eine \u00fcberproportional lange Lebensdauer haben, sollten bei der PQC-orientierten Inventarisierung ihrer Daten an vorderster Front stehen. Dies sind z.B. Unternehmen, die zertifizierte Produkte besitzen \u2013 wie in der Medizintechnik \u2013 Banken und Versicherungen, aber auch die Automobilindustrie, da die durchschnittlich zu erwartende Lebensdauer eines Fahrzeugs inzwischen weit \u00fcber zehn Jahre liegt und die Funktion der Fahrzeuge in hohem Ma\u00dfe von Software und insbesondere Daten abh\u00e4ngt. In der Konsequenz bleibt f\u00fcr die entsprechenden Verantwortlichen in den Unternehmen nur eine konsequente Priorisierung der Vorhaben zur Erreichung der Krypto-Agilit\u00e4t, um eine Datenkategorie-abh\u00e4ngige Risikobewertung vornehmen zu k\u00f6nnen. Letztendlich werden diese Projekte zu einer dynamischen CBOM (cryptographic bill-of-material) f\u00fchren.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Zusammenfassung und Empfehlung:<\/h2>\n\n\n\n<p>Quantum-Computing-Technologien m\u00fcnden derzeit noch nicht in einen singul\u00e4ren, konvertierenden Entwicklungsstrang. Diskontinuit\u00e4ten in der Entwicklung k\u00f6nnen zu einer \u00fcberraschenden Beschleunigung der Verf\u00fcgbarkeit von frei programmierbaren und fehlerfreien Quantencomputern f\u00fchren. Das Ph\u00e4nomen von \u201eStore Now, Decrypt Later\u201c zwingt Unternehmensverantwortliche, bereits heute in Vorleistung zu gehen und PQC-sichere Algorithmen auszuw\u00e4hlen und zu verwenden, um den Kern des Datenschatzes ihres Unternehmens zu sch\u00fctzen. Notwendigen Ma\u00dfnahmen zur Krypto-Agilit\u00e4t verlangen eine Inventarisierung \/Bestandsaufnahme der Daten und der PQC-Risikobewertungsma\u00dfnahmen, die besser heute als morgen beginnen sollten.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Welche Gefahren bestehen f\u00fcr Daten in Unternehmen \u2013 in Zukunft, aber auch schon heute? Und welche Rolle spielt Quantum-Computing dabei? <\/p>\n","protected":false},"author":109,"featured_media":47297,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"set","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[47],"tags":[],"plus":[],"content_typ":[209],"layoutvorlage":[],"class_list":["post-105390","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-business-intelligence","content_typ-artikel"],"acf":[],"_links":{"self":[{"href":"https:\/\/barc.com\/de\/wp-json\/wp\/v2\/posts\/105390","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/barc.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/barc.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/barc.com\/de\/wp-json\/wp\/v2\/users\/109"}],"replies":[{"embeddable":true,"href":"https:\/\/barc.com\/de\/wp-json\/wp\/v2\/comments?post=105390"}],"version-history":[{"count":1,"href":"https:\/\/barc.com\/de\/wp-json\/wp\/v2\/posts\/105390\/revisions"}],"predecessor-version":[{"id":105393,"href":"https:\/\/barc.com\/de\/wp-json\/wp\/v2\/posts\/105390\/revisions\/105393"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/barc.com\/de\/wp-json\/wp\/v2\/media\/47297"}],"wp:attachment":[{"href":"https:\/\/barc.com\/de\/wp-json\/wp\/v2\/media?parent=105390"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/barc.com\/de\/wp-json\/wp\/v2\/categories?post=105390"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/barc.com\/de\/wp-json\/wp\/v2\/tags?post=105390"},{"taxonomy":"plus","embeddable":true,"href":"https:\/\/barc.com\/de\/wp-json\/wp\/v2\/plus?post=105390"},{"taxonomy":"content_typ","embeddable":true,"href":"https:\/\/barc.com\/de\/wp-json\/wp\/v2\/content_typ?post=105390"},{"taxonomy":"layoutvorlage","embeddable":true,"href":"https:\/\/barc.com\/de\/wp-json\/wp\/v2\/layoutvorlage?post=105390"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}